\section{Probleme}
Bei der Übung gab es das Problem, dass die erstellte Firewallkonfiguration nicht
auf die Firewall-Geräte übertragen werden konnte.
Die Validierung der erstellten Regeln konnte erfolgreich durchgeführt werden.
Die anschließende Übertragung wurde nach langer Wartezeit von über 10 Minuten
mit einer Fehlermeldung quitiert.

\verb|Reason TCP connectivity failure 18919  error 10|

Die erste Annahme war, dass ein Verbindungsproblem zwischen den beiden Geräten
Manager und Firewall vorliegt. Dies konnte aber nach längerer Fehleranalyse
vorerst ausgeschlossen werden. Die physikalische Verbindung zwischen den
Host-Maschinen, auf denen die virtuellen Maschinen laufen wurde überprüft, indem
auf den Interfaces IP-Adressen definiert wurdern, zwischen denen
ICMP-Nachrichten ausgetauscht werden konnten. Es wurde weiters verifiziert, dass
auch wirklich die angepingte Maschine antwortet, indem auf der Gegenseite das
Interface wieder down genommen wurde. Da die Echo-Replies darauf ausblieben
konnte man davon ausgehen, dass es sich um die richtige Maschine handelte.

Als nächstes wurden alle Policies von der Firewall gelöscht, um auch Probleme
mit diesen auszuschließen. Jedoch trat damit keine Verbesserung beim Einspielen
der Policies ein.

Auch die SIC zwischen Manager und Firewall wurde überprüft. Diese wurde als
hergestellt angezeigt. Auch eine Neuaushandlung der SIC brachte leider
keine Verbesserung. Laut Management-Interface war auch nach Neuaushanldung der
SIC die Verbindung erfolgreich und die Kommunikation möglich. Ein Einspielen der
Konfiguration auf die Firewall blieb aber weiterhin erfolglos und wurde mit dem
bereits beschriebenen Fehler quitiert.

Die Überpfüfung der Netzwerkkommunikation wurde mit Wireshark durchgeführt.
Dabei wurde am Host das Interface vom Manager zur Firewall überwacht. In der
Aufzeichnung waren einige TCP-Retransmits zwischen Manager und Firewall zu
sehen. Ein Ähnliches Problem wurde bereits in Foren (siehe
http://www.tek-tips.com/viewthread.cfm?qid=668692) behandelt, jedoch trafen die
dort vorgeschlagenen Lösungen nicht zu oder hatten keine Wirkung. Es gibt auch
einen ähnlichen Fall beim checkpoint-Support, jedoch konnte dieser Fall weder
ohne, noch mit gültigem Account eingesehen werden. Selbst der Account von Herrn
Supper war nicht berechtigt den Fall zu öffnen.

Nach Krisenbesprechung mit Herrn Supper wurde als letzter Ausweg die Firewall
von Grund auf neu installiert und die in der Installationsanleitung
beschriebenen Schritte erneut durchgeführt. Jedoch war der Fehler selbst dann noch
wie oben beschrieben reproduzierbar, da wieder die Fehlermeldung zurückgegeben
wurde.

Als letzte Vermutung blieb es die Schuld beim Laborsetup im Bezug mit Vmware zu
suchen, jedoch konnten wir dies aus Zeitgründen nicht mehr verifizieren.

Für die nächste Übung wird ein anderer Übungsplatz verwendet, um etwaige Fehler
auf dem bisherigen Laborplatz auszuschließen.

Für die Konfiguration von OpenNMS zum Monitoring der Firewall war aufgrund der
technischen Probleme in dieser Übung leider keine Zeit. Außerdem konnte NAT in
das FH-Netzwerk noch nicht eingerichtet werden. Dies wird in der folgenden Übung
nachgeholt.
